7. PKI - SFTP – SSH Secure File Transfer Protocol (S-FTP or FTP-S)

SFTP(SSH Secure File Transfer Protocol)是一个安全的文件传输协议。它运行在SSH协议之上。SFTP支持SSH所有的安全和认证功能。

SFTP已几乎取代了旧版FTP作为文件传输协议，并且正在迅速取代FTP / S。它提供了这些协议提供的所有功能，但更安全，更可靠，配置更简单。基本上没有理由再使用旧协议了。

SFTP还可以防止密码嗅探和中间人攻击。它使用加密和加密哈希函数来保护数据的完整性，并同时对服务器和用户进行认证。

1. SFTP端口

SFTP端口号是SSH端口22。它基本上只是一个SSH服务器。只有用户使用SSH登录到服务器后，才能启动SFTP协议。服务器上没有公开的单独SFTP端口。无需为防火墙配置另一个漏洞。

2. SSHFS & SFTP文件共享

SFTP还可以用于文件共享，类似于Windows文件共享和Linux NFS。主要区别在于SFTP是安全的，并且可以在网络地址转换（NAT）和公共Internet上可靠地使用。

Sshfs是用于Linux的网络文件系统，它通过SFTP协议运行。它可以将任何SSH服务器用作服务器，并可以通过网络使用远程文件，就像它们是本地文件一样。可以根据需要安装和卸载远程文件系统。这是临时安装远程文件的最便捷方法，无需服务器管理员进行任何配置。 SSH密钥甚至可以完全自动化建立与服务器的连接。基本上，任何能够登录服务器的人都可以安装其文件系统，并可以访问用户有权访问的那些文件。

3. 交互式和自动安全文件传输

与SSH本身一样，SFTP是客户端-服务器协议。 SFTP客户端包括高质量SSH客户端，以及完整的企业级SSH实现，同时提供SFTP客户端和服务器功能。 一些SSH客户端（例如Tectia SSH）也提供了远程文件系统中的图形文件管理器视图。

在Linux上，SFTP通常用作支持交互式和自动文件传输的命令行实用程序。 公钥身份验证可用于完全自动化登录，以实现自动文件传输。 但是，对SSH密钥进行适当的生命周期管理对于使访问受到控制非常重要。

自动文件传输的常见用例包括每晚进行系统备份，将数据复制到灾难恢复系统，分发配置数据以及将事务日志移动到档案系统。 许多组织每天都有成千上万的SSH传输。 在某些情况下，我们每天看到超过500万次自动SSH登录。

4. FTPS-结合FTP和SSL

FTPS（“具有安全性的FTP”）诞生于意识到FTP协议的实用性因缺乏通信安全性而受到阻碍。

通过将纯文本，未加密的FTP与安全套接字层（SSL）或传输层安全性（TLS）协议相结合，解决了这一明显的安全问题。然后，最终的组合将在加密的SSL / TLS隧道内携带文件传输功能，从而提供端到端的加密和传输安全性。

IETF将FTP的FTPS扩展名发布为RFC 2228。

FTPS连接的安全性可以通过两种不同的方式来建立，这两种方式都有其长处和短处。安全方法称为“隐式”和“显式”。

在隐式安全方法中，整个连接受SSL / TLS会话保护。但是，此方法破坏了与“常规” FTP服务器的兼容性，因为客户端将启动与SSL / TLS的连接，并且服务器需要意识到这一点。

在可选的显式安全性方法中，在初始的纯文本FTP连接建立之后，可通过特殊命令打开加密。 “显式”方法及其添加的命令的缺点在于，它需要用户/客户端操作完成一个单独的步骤，从而改变了协议流程和用户工作流程。

5. SFTP与FTPS

人们经常想比较SFTP与FTPS。 FTPS基本上是运行在SSL（安全套接字层）或TLS（传输层安全性）上的旧ftp协议。

SFTP优于SFTP的优点包括：

• SFTP在标准SSH端口中通过SSH运行。因此，不需要在服务器上打开其他端口，也不需要维护其他身份验证。这简化了配置并减少了配置错误的可能性。

• FTPS需要复杂的防火墙配置，并且可能无法通过NAT工作。端口989和990需要打开。此外，FTPS支持主动和被动模式（请参阅FTP），这进一步使防火墙配置变得复杂并且容易出现问题。

• FTPS通常需要来自公共证书颁发机构的服务器X.509证书。 SSH无需任何集中式基础架构即可工作。 SFTP可以利用SSH使用的任何主机密钥分发或认证方法，而无需进行额外的工作和持续的维护。

• FTPS基本上是FTP，这意味着它具有ASCII模式，如果未正确设置模式，则可能损坏文件。一些实现默认为ASCII模式。

• FTPS不能用作文件系统。 （这不能提高安全性，因为它仍然可以读取相同的文件。）

• FTPS需要安装和修补额外的服务器软件包，而SFTP通常随系统一起提供SSH。

参考

SFTP – SSH Secure File Transfer Protocol
FTPS - Obsolescent Secure FTP